参数化查询

最新推荐文章于 2024-09-21 09:28:28 发布
最新推荐文章于 2024-09-21 09:28:28 发布
阅读量1.2k 收藏
点赞数
分类专栏: Python mySQL sql
Python 同时被 3 个专栏收录
38 篇文章 0 订阅
订阅专栏
mySQL
8 篇文章 0 订阅
订阅专栏
sql
4 篇文章 0 订阅
订阅专栏

在mysql 里使用参数化查询具体怎么实现?


SQL code
?
1
2
set  @n = 156027;
select  from  tab_name  where  id=@n;


如果是在存储过程里了,也可以这样
SQL code
?
1
2
3
declare  int ;
set  n = 156027;
select  from  tab_name  where  id=n;

SQL code
?
1
2
3
4
set  @c1= '' ,@c2= '' ,@c3= '' ,@c4= '' ;
set  sql =  'UPDATE myTable SET c1 = ?, c2 = ?, c3 = ? WHERE c4 = ?' ;
prepare  stmt  from  sql;
execute  stmt using@c2,@c2,@c3,@c4;

Python
#!/usr/bin/python
 
import MySQLdb
 
# Open database connection
db = MySQLdb.connect("localhost","testuser","test123","TESTDB" )
 
# prepare a cursor object using cursor() method
cursor = db.cursor()
 
# Prepare SQL query to INSERT a record into the database.
sql = "INSERT INTO EMPLOYEE(FIRST_NAME, \
       LAST_NAME, AGE, SEX, INCOME) \
       VALUES ('%s''%s''%d''%c''%d' )" % \
       ('Mac''Mohan'20'M'2000)
try:
   # Execute the SQL command
   cursor.execute(sql)
   # Commit your changes in the database
   db.commit()
except:
   # Rollback in case there is any error
   db.rollback()
 
# disconnect from server
db.close()
#该代码片段来自于: http://www.sharejs.com/codes/python/8346
这样,封装在values内部,即使有语句也无法执行



浅析Sql Server参数化查询


#coding:utf8
#只有pyodbc模块才支持参数化

import pyodbc
conn = pyodbc.connect(host='localhost:3006', user='ha',password='ha',database='db')
cur = conn.cursor()
cur.execute("select * from tb where id=?", [1])
row = cur.fetchall()
conn.close()
print row



错误认识1.不需要防止sql注入的地方无需参数化
  参数化查询就是为了防止SQL注入用的,其它还有什么用途不知道、也不关心,原则上是能不用参数就不用参数,为啥?多麻烦,我只是做公司内部系统不用担心SQL注入风险,使用参数化查询不是给自己找麻烦,简简单单拼SQL,万事OK

错误认识2.参数化查询时是否指定参数类型、参数长度没什么区别
  以前也一直都觉的加与不加参数长度应该没有什么区别,仅是写法上的不同而已,而且觉得加参数类型和长度写法太麻烦,最近才明白其实两者不一样的,为了提高sql执行速度,请为SqlParameter参数加上SqlDbType和size属性,在参数化查询代码编写过程中很多开发者忽略了指定查询参数的类型,这将导致托管代码在执行过程中不能自动识别参数类型,进而对该字段内容进行全表扫描以确定参数类型并进行转换,消耗了不必要的查询性能所致。根据MSDN解释:如果未在size参数中显式设置Size,则从dbType参数的值推断出该大小。如果你认为上面的推断出该大小是指从SqlDbType类型推断,那你就错了,它实际上是从你传过来的参数的值来推断的,比如传递过来的值是"username",则size值为8,"username1",则size值为9。那么,不同的size值会引发什么样的结果呢?且经测试发现,size的值不同时,会导致数据库的执行计划不会重用,这样就会每次执行sql的时候重新生成新的执行计划,而浪费数据库执行时间。

下面来看具体测试

首先清空查询计划

DBCC FREEPROCCACHE

传值username,不指定参数长度,生成查询计划

复制代码 
using (SqlConnection conn = new SqlConnection(connectionString))
{
    conn.Open();
    SqlCommand comm = new SqlCommand();
    comm.Connection = conn;
    comm.CommandText = "select * from Users where UserName=@UserName";
    //传值 username,不指定参数长度
    //查询计划为(@UserName varchar(8))select * from Users where UserName=@UserName
    comm.Parameters.Add(new SqlParameter("@UserName", SqlDbType.VarChar) { Value = "username" });
    comm.ExecuteNonQuery();
}
复制代码

 

传值username1,不指定参数长度,生成查询计划

复制代码 
using (SqlConnection conn = new SqlConnection(connectionString))
{
    conn.Open();
    SqlCommand comm = new SqlCommand();
    comm.Connection = conn;
    comm.CommandText = "select * from Users where UserName=@UserName";
    //传值 username1,不指定参数长度
    //查询计划为(@UserName varchar(9))select * from Users where UserName=@UserName
    comm.Parameters.Add(new SqlParameter("@UserName", SqlDbType.VarChar) { Value = "username1" });
    comm.ExecuteNonQuery();
}
复制代码

传值username,指定参数长度为50,生成查询计划

复制代码 
using (SqlConnection conn = new SqlConnection(connectionString))
{
    conn.Open();
    SqlCommand comm = new SqlCommand();
    comm.Connection = conn;
    comm.CommandText = "select * from Users where UserName=@UserName";
    //传值 username,指定参数长度为50
    //查询计划为(@UserName varchar(50))select * from Users where UserName=@UserName
    comm.Parameters.Add(new SqlParameter("@UserName", SqlDbType.VarChar,50) { Value = "username" });
    comm.ExecuteNonQuery();
}
复制代码

 

传值username1,指定参数长度为50,生成查询计划

复制代码 
using (SqlConnection conn = new SqlConnection(connectionString))
{
    conn.Open();
    SqlCommand comm = new SqlCommand();
    comm.Connection = conn;
    comm.CommandText = "select * from Users where UserName=@UserName";
    //传值 username1,指定参数长度为50
    //查询计划为(@UserName varchar(50))select * from Users where UserName=@UserName
    comm.Parameters.Add(new SqlParameter("@UserName", SqlDbType.VarChar,50) { Value = "username1" });
    comm.ExecuteNonQuery();
}
复制代码

 

使用下面语句查看执行的查询计划

SELECT cacheobjtype,objtype,usecounts,sql FROM sys.syscacheobjects 
WHERE sql LIKE '%Users%'  and sql not like '%syscacheobjects%'

结果如下图所示

 可以看到指定了参数长度的查询可以复用查询计划,而不指定参数长度的查询会根据具体传值而改变查询计划,从而造成性能的损失。

这里的指定参数长度仅指可变长数据类型,主要指varchar,nvarchar,char,nchar等,对于int,bigint,decimal,datetime等定长的值类型来说,无需指定(即便指定了也没有用),详见下面测试,UserID为int类型,无论长度指定为2、20、-1查询计划都完全一样为(@UserIDint)select*from Users where UserID=@UserID

复制代码 
using (SqlConnection conn = new SqlConnection(connectionString))
{
    conn.Open();
    SqlCommand comm = new SqlCommand();
    comm.Connection = conn;
    comm.CommandText = "select * from Users where UserID=@UserID";
    //传值 2,参数长度2
    //执行计划(@UserID int)select * from Users where UserID=@UserID
    comm.Parameters.Add(new SqlParameter("@UserID", SqlDbType.Int, 2) { Value = 2 });
    comm.ExecuteNonQuery();
}
using (SqlConnection conn = new SqlConnection(connectionString))
{
    conn.Open();
    SqlCommand comm = new SqlCommand();
    comm.Connection = conn;
    comm.CommandText = "select * from Users where UserID=@UserID";
    //传值 2,参数长度20
    //执行计划(@UserID int)select * from Users where UserID=@UserID
    comm.Parameters.Add(new SqlParameter("@UserID", SqlDbType.Int, 20) { Value = 2 });
    comm.ExecuteNonQuery();
}
using (SqlConnection conn = new SqlConnection(connectionString))
{
    conn.Open();
    SqlCommand comm = new SqlCommand();
    comm.Connection = conn;
    comm.CommandText = "select * from Users where UserID=@UserID";
    //传值 2,参数长度-1
    //执行计划(@UserID int)select * from Users where UserID=@UserID
    comm.Parameters.Add(new SqlParameter("@UserID", SqlDbType.Int, -1) { Value = 2 });
    comm.ExecuteNonQuery();
}
复制代码

这里提一下,若要传值varchar(max)或nvarchar(max)类型怎么传,其实只要设定长度为-1即可

复制代码 
using (SqlConnection conn = new SqlConnection(connectionString))
{
    conn.Open();
    SqlCommand comm = new SqlCommand();
    comm.Connection = conn;
    comm.CommandText = "select * from Users where UserName=@UserName";
    //类型为varchar(max)时,指定参数长度为-1
    //查询计划为 (@UserName varchar(max) )select * from Users where UserName=@UserName
    comm.Parameters.Add(new SqlParameter("@UserName", SqlDbType.VarChar,-1) { Value = "username1" });
    comm.ExecuteNonQuery();
}
复制代码

当然了若是不使用参数化查询,直接拼接SQL,那样就更没有查询计划复用一说了,除非你每次拼的SQL都完全一样

总结,参数化查询意义及注意点

1.可以防止SQL注入

2.可以提高查询性能(主要是可以复用查询计划),这点在数据量较大时尤为重要

3.参数化查询参数类型为可变长度时(varchar,nvarchar,char等)请指定参数类型及长度,若为值类型(int,bigint,decimal,datetime等)则仅指定参数类型即可

4.传值为varchar(max)或者nvarchar(max)时,参数长度指定为-1即可

5.看到有些童鞋对于存储过程是否要指定参数长度有些疑惑,这里补充下,若调用的是存储过程时,参数无需指定长度,如果指定了也会忽略,以存储过程中定义的长度为准,不会因为没有指定参数长度而导致重新编译,不过还是建议大家即便时调用存储过程时也加上长度,保持良好的变成习惯

 

原文:http://www.cnblogs.com/lzrabbit/archive/2012/04/21/2460978.html



Do395614269
关注
专栏目录
SQL Server中参数化查询的挑战与解决方案
DiAngular的博客
09-29 197
参数化查询在SQL Server开发中是一项重要的技术,可以提高查询的安全性、性能和可维护性。通过克服查询字符串拼接的风险,使用强制参数化和辅助工具来提高性能和可维护性,开发人员可以更好地应用参数化查询,并有效地解决相关的挑战。通过启用此选项,SQL Server会自动将查询中的常量值参数化,从而提高查询性能和缓存的复用性。在不使用参数化查询的情况下,查询字符串通常需要通过拼接来构建,将用户的输入直接嵌入到查询中。参数化查询通过将查询字符串和参数分离,将参数的值作为查询的输入,从而消除了SQL注入的风险。
浅析SQL Server参数化查询
12-14
SQL Server参数化查询是一种编程技术,它允许开发者创建可重用的SQL语句,其中的变量部分通过参数来传递。这种技术对优化查询性能、防止SQL注入攻击以及提高代码的可读性和可维护性有着重要作用。 错误认识1:在...
浅析Sql Server参数化查询
weixin_33726943的博客
04-21 252
说来惭愧,工作差不多4年了,直到前些日子被DBA找上门让我优化一个CPU占用很高的复杂SQL语句时,我才突然意识到了参数化查询的重要性。 相信有很多开发者和我一样对于参数化查询认识比较模糊,没有引起足够的重视 错误认识1.不需要防止sql注入的地方无需参数化  参数化查询就是为了防止SQL注入用的,其它还有什么用途不知道、也不关心,原则上是能不用参数就不用参数,为啥?多麻烦,我只是做公司内部系...
SQL Server参数化查询
weixin_30359021的博客
05-25 324
原文引自:http://database.ctocio.com.cn/analysis/338/9449338.shtml 本篇文章将介绍参数化查询。我将讨论如果一个查询可以被参数化,那么SQL Server优化器怎样尝试将其参数化,以及你可以怎样建立你自己的参数化查询。   本篇文章将介绍参数化查询。我将讨论如果一个查询可以被参数化,那么SQL Server优化器怎样尝试...
产品经理必备知识——API接口
最新发布
Michelle0916的博客
09-21 922
因此,我们需要不断地学习和探索新的技术和方法,以推动API接口的发展和应用。在古代,我们的传输信息的方式有很多,比如写信、飞鸽传书,以及在战争中使用的烽烟,才有了著名的烽火戏诸侯,但这些方式传输信息的效率终究还是无法满足高速发展的社会需要。首先,看接口文档的场景一般是自身业务模块需要获取外部的数据,但又不想自己重新开发,寻找外部已经实现的有开放能力的供应商(包含企业内部的)。去供应商的开放平台找到对应的接口,查看接口返回参数是否有你想要的信息,注意一些用户个人信息参数都是加密的,还需要通过解密接口获取。
Sqlserver in 实现 参数化查询 XML类型解决方案
kogu的博客
07-01 623
1:如果参数是int类型: declare @a xml set @a=' 1 5 4 3 2' select * from product where id in ( select d.x.value('./id[1]','int') from @a.nodes('/*') as d(x))   2:如果参数是varchar类型: declare @a xml set
【C#】Sql Server 设置IN查询方法内的参数,固定参数、动态参数以及通过分隔含有逗号隔开的字符串转数据集
小5聊的博客
07-08 6477
在平时使用sql语句查询时,in查询肯定少不了,多数用于一些数据统计或者测试类。in查询并不建议放到实际常用的查询列表里。 此篇文章主要简单聊聊,in查询方法内的参数设置方式,以及通过分隔函数将含有逗号隔开的字符串转为数据集进行查询
SqlServer参数化查询之where in和like实现详解
09-11
在SQL Server中,参数化查询是一种优化查询性能的重要方法,尤其是在处理大量数据时。它能够防止SQL注入攻击,并且能够更好地利用数据库的查询缓存,提高执行效率。本文将详细讲解如何实现`WHERE IN`和`LIKE`操作的...
SqlServer:使用IN()子句C#进行参数化查询
04-07
标题中的“SqlServer:使用IN()子句C#进行参数化查询”指的是在SQL Server数据库中,使用C#编程语言来构建一个参数化查询,该查询涉及到SQL的IN操作符。IN操作符允许我们在WHERE子句中指定一个值列表,查询满足...
pdo中使用参数化查询sql
01-20
所以使用bindParam是第二个参数只能用变量名,而不能用变量值,而bindValue至可以使用具体值。 复制代码 代码如下: $stm = $pdo->prepare(“select * from users where user = :user”); $user = “jack”; //正确 ...
SQLServer 参数化查询经验分享
12-15
什么是参数化查询? 一个简单理解参数化查询的方式是把它看做只是一个T-SQL查询,它接受控制这个查询返回什么的参数。通过使用不同的参数,一个参数化查询返回不同的结果。要获得一个参数化查询,你需要以一种特定的...
sql查询时添加一列为固定值
热门推荐
CoffeMilk的博客
10-20 1万+
一、实现效果 二、实现的sql语句 //sql查询添加一列固定值 SELECT 表字段1,表字段2,表字段3,'固定值字符串' AS FixedStr FROM 表名称
SQL参数化查询,Where语句中配置“?”
mark_jl的博客
03-28 1613
参数化查询(Parameterized Query 或 Parameterized Statement)是指在设计与数据库链接并访问数据时,在需要填入数值或数据的地方,使用参数 (Parameter) 来给值,这个方法目前已被视为最有效可预防SQL注入攻击 (SQL Injection) 的攻击手法的防御方式。
Sql Server 参数化查询示例
sumirry的专栏
04-22 2011
参数化查询示例代码
sql server 中配置查询参数
weixin_36078604的博客
08-19 77
我整理的一些关于【存储过程】的项目学习资料(附讲解~~)和大家一起分享、学习一下:https://d.51cto.com/yOSbkR在 SQL Server 中配置查询参数的详细指南 在现代数据库管理中,利用参数化查询能够有效提升SQL查询的安全性和性能。下面,我将带领你了解如何在 SQL Server 中配置查询参数...
SQL Server参数化SQL语句中的like和in查询的语法(C#)
weixin_30697239的博客
06-24 289
SQL Server参数化SQL语句中的like和in查询的语法(C#) 原文:SQL Server参数化SQL语句中的like和in查询的语法(C#)sql语句进行 like和in 参数化,按照正常的方式是无法实现的 我们一般的思维是: Like参数化查询:string sqlstmt = "select * from users whe...
提高SQL Server性能
helloworld的专栏
12-02 3429
如何提高SQL Server的性能 提供SQL Server性能总的来说有两种方式: 1、扩容,提高服务器性能,显著提高CPU、内存,解决磁盘I/O瓶颈。 2、优化应用程序 引起数据性能问题主要原因: l  不了解系统性能和可扩展行 l  一次检索太多数据 l  错误的使用数据库事务 l  错误的使用数据库索引 l  混淆OLTP、OLAP和报表工作负载 l  相对低效的模式S
sqlserver 新建用户要给什么权限_将SQL中几张表设为只读,这是什么奇怪需求?...
weixin_39775577的博客
11-22 271
点击关注上方“SQL数据库开发”,设为“置顶或星标”,第一时间送达干货最近接到一个奇怪的需求,要将SQL Server中的几张表设为只读。我的第一反应就是直接将用户设为只读权限就好了,但是仔细一想又不是那么回事。创建只读账号SQL Server的只读账号是针对某个具体的数据库,设置的方法很简单:进入SqlserverManagementStudio(MSSQL客户端)选择安全性-&g...
SQL Server参数化查询详解与自动创建策略
SQLServer参数化查询经验分享 参数化查询是SQLServer中的一个重要概念,它允许数据库在执行查询时动态替换变量,而非硬编码特定的值,从而提高了查询的安全性、性能和可维护性。本文将深入探讨以下几个关键点: 1....
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值